本發(fā)明涉及電子技術(shù)領(lǐng)域,尤其涉一種訪問控制方法及終端。
背景技術(shù):
android系統(tǒng)是當(dāng)前移動終端的主流操作系統(tǒng)?;赼ndroid系統(tǒng)的第三方應(yīng)用程序數(shù)量龐大,用戶在移動終端上安裝應(yīng)用時(shí),都會涉及授予該應(yīng)用程序訪問安全數(shù)據(jù)的權(quán)限而產(chǎn)生的安全問題。
目前,android系統(tǒng)在對應(yīng)用程序進(jìn)行授予應(yīng)用程序訪問終端的安全數(shù)據(jù)的權(quán)限時(shí),當(dāng)android系統(tǒng)判斷應(yīng)用程序具有訪問終端的安全數(shù)據(jù)的權(quán)限時(shí),android系統(tǒng)將會向應(yīng)用程序開放存儲所有的安全數(shù)據(jù),這顯然使得應(yīng)用程序可訪問其功能所不需的安全數(shù)據(jù),從而可能導(dǎo)致應(yīng)用程序可以偷竊終端的安全數(shù)據(jù),使得系統(tǒng)安全性受到威脅,導(dǎo)致安全數(shù)據(jù)泄露。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例提供一種訪問控制方法及終端,終端可限制應(yīng)用程序訪問部分安全數(shù)據(jù)的權(quán)限,提高安全數(shù)據(jù)的安全性。
本發(fā)明一種訪問控制方法,所述方法包括:
當(dāng)接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū);
讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限;
當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū)。
本發(fā)明還提供一種終端,所述終端包括:
第一確定單元,用于當(dāng)接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū);
第一判斷單元,用于讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限;
允許單元,用于當(dāng)所述判斷單元確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū)。
在本發(fā)明實(shí)施例中,當(dāng)終端接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū),讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限,當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū),這可使得終端可向有訪問安全數(shù)據(jù)權(quán)限的應(yīng)用程序開放存儲所需的安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)的訪問權(quán)限,使得終端可限制應(yīng)用程序訪問部分安全數(shù)據(jù)的權(quán)限,提高安全數(shù)據(jù)的安全性。
附圖說明
為了更清楚地說明本發(fā)明實(shí)施例技術(shù)方案,下面將對實(shí)施例描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實(shí)施例提供的一種訪問控制方法的示意流程圖;
圖2是本發(fā)明實(shí)施例提供的一種終端結(jié)構(gòu)圖;
圖3是本發(fā)明實(shí)施例提供的另一種終端結(jié)構(gòu)圖。
具體實(shí)施方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
應(yīng)當(dāng)理解,當(dāng)在本說明書和所附權(quán)利要求書中使用時(shí),術(shù)語“包括”和“包含”指示所描述特征、整體、步驟、操作、元素和/或組件的存在,但并不排除一個(gè)或多個(gè)其它特征、整體、步驟、操作、元素、組件和/或其集合的存在或添加。
還應(yīng)當(dāng)理解,在此本發(fā)明說明書中所使用的術(shù)語僅僅是出于描述特定實(shí)施例的目的而并不意在限制本發(fā)明。如在本發(fā)明說明書和所附權(quán)利要求書中所使用的那樣,除非上下文清楚地指明其它情況,否則單數(shù)形式的“一”、“一個(gè)”及“該”意在包括復(fù)數(shù)形式。
還應(yīng)當(dāng)進(jìn)一步理解,在本發(fā)明說明書和所附權(quán)利要求書中使用的術(shù)語“和/或”是指相關(guān)聯(lián)列出的項(xiàng)中的一個(gè)或多個(gè)的任何組合以及所有可能組合,并且包括這些組合。
如在本說明書和所附權(quán)利要求書中所使用的那樣,術(shù)語“如果”可以依據(jù)上下文被解釋為“當(dāng)...時(shí)”或“一旦”或“響應(yīng)于確定”或“響應(yīng)于檢測到”。類似地,短語“如果確定”或“如果檢測到[所描述條件或事件]”可以依據(jù)上下文被解釋為意指“一旦確定”或“響應(yīng)于確定”或“一旦檢測到[所描述條件或事件]”或“響應(yīng)于檢測到[所描述條件或事件]”。
具體實(shí)現(xiàn)中,本發(fā)明實(shí)施例中描述的終端包括但不限于諸如具有觸摸敏感表面(例如,觸摸屏顯示器和/或觸摸板)的移動電話、膝上型計(jì)算機(jī)或平板計(jì)算機(jī)之類的其它便攜式設(shè)備。還應(yīng)當(dāng)理解的是,在某些實(shí)施例中,所述設(shè)備并非便攜式通信設(shè)備,而是具有觸摸敏感表面(例如,觸摸屏顯示器和/或觸摸板)的臺式計(jì)算機(jī)。
在接下來的討論中,描述了包括顯示器和觸摸敏感表面的終端。然而,應(yīng)當(dāng)理解的是,終端可以包括諸如物理鍵盤、鼠標(biāo)和/或控制桿的一個(gè)或多個(gè)其它物理用戶接口設(shè)備。
終端支持各種應(yīng)用程序,例如以下中的一個(gè)或多個(gè):繪圖應(yīng)用程序、演示應(yīng)用程序、文字處理應(yīng)用程序、網(wǎng)站創(chuàng)建應(yīng)用程序、盤刻錄應(yīng)用程序、電子表格應(yīng)用程序、游戲應(yīng)用程序、電話應(yīng)用程序、視頻會議應(yīng)用程序、電子郵件應(yīng)用程序、即時(shí)消息收發(fā)應(yīng)用程序、鍛煉支持應(yīng)用程序、照片管理應(yīng)用程序、數(shù)碼相機(jī)應(yīng)用程序、數(shù)字?jǐn)z影機(jī)應(yīng)用程序、web瀏覽應(yīng)用程序、數(shù)字音樂播放器應(yīng)用程序和/或數(shù)字視頻播放器應(yīng)用程序。
可以在終端上執(zhí)行的各種應(yīng)用程序可以使用諸如觸摸敏感表面的至少一個(gè)公共物理用戶接口設(shè)備??梢栽趹?yīng)用程序之間和/或相應(yīng)應(yīng)用程序內(nèi)調(diào)整和/或改變觸摸敏感表面的一個(gè)或多個(gè)功能以及終端上顯示的相應(yīng)信息。這樣,終端的公共物理架構(gòu)(例如,觸摸敏感表面)可以支持具有對用戶而言直觀且透明的用戶界面的各種應(yīng)用程序。
參見圖1,是本發(fā)明實(shí)施例提供的一種訪問控制方法示意流程圖,如圖所示1所示,一種訪問控制方法可包括以下步驟:
s100,當(dāng)接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū)。
在本發(fā)明實(shí)施例中,終端的操作系統(tǒng)可以是android操作系統(tǒng),應(yīng)用程序可以是運(yùn)行在android操作系統(tǒng)上的應(yīng)用程序。終端可在用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)存儲區(qū)中劃分出一個(gè)或多個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)。因此,終端可將終端需進(jìn)行控制訪問的安全數(shù)據(jù)存儲至一個(gè)或多個(gè)安全數(shù)據(jù)分區(qū)中,其中,安全數(shù)據(jù)可包括終端的密鑰和用戶信息等安全信息。進(jìn)一步的,為了對安全數(shù)據(jù)分區(qū)進(jìn)行區(qū)分,終端可對每個(gè)安全數(shù)據(jù)分區(qū)分配唯一的分區(qū)標(biāo)識,并保存安全數(shù)據(jù)分區(qū)與分區(qū)標(biāo)識的對應(yīng)關(guān)系。在具體應(yīng)用中,終端可將終端的安全數(shù)據(jù)存儲區(qū)劃分為id0,id1,id2,……,id15等16個(gè)安全數(shù)據(jù)分區(qū),每個(gè)安全數(shù)據(jù)分區(qū)可存儲不同的安全數(shù)據(jù)。當(dāng)終端對安全數(shù)據(jù)存儲區(qū)進(jìn)行劃分后,終端可對每個(gè)區(qū)域分配一個(gè)分區(qū)標(biāo)識tokenid,如終端對安全數(shù)據(jù)分區(qū)id0分配對應(yīng)的分區(qū)標(biāo)識為token0,終端對安全數(shù)據(jù)分區(qū)id1分配對應(yīng)的分區(qū)標(biāo)識為token1等分配行為。并且,終端可將安全數(shù)據(jù)分區(qū)與分區(qū)標(biāo)識的對應(yīng)關(guān)系記錄至預(yù)置的索引表中,以方便后續(xù)調(diào)用。
在本發(fā)明實(shí)施例中,當(dāng)應(yīng)用程序需要訪問終端的安全數(shù)據(jù)時(shí),應(yīng)用程序需獲取存儲所需訪問的安全數(shù)據(jù)的目標(biāo)安全數(shù)據(jù)分區(qū)對應(yīng)的目標(biāo)分區(qū)標(biāo)識,并生成攜帶目標(biāo)分區(qū)標(biāo)識的訪問安全數(shù)據(jù)請求,從而終端可接收到來自應(yīng)用程序發(fā)送的攜帶目標(biāo)分區(qū)標(biāo)識的訪問安全數(shù)據(jù)請求。當(dāng)終端接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),終端可首選判斷訪問安全數(shù)據(jù)請求是否攜帶目標(biāo)分區(qū)標(biāo)識,當(dāng)終端判斷訪問安全數(shù)據(jù)請求攜帶目標(biāo)分區(qū)標(biāo)識時(shí),終端可解析請求獲取目標(biāo)分區(qū)標(biāo)識,并根據(jù)目標(biāo)分區(qū)標(biāo)識在預(yù)置的索引表中查詢目標(biāo)分區(qū)標(biāo)識所對應(yīng)的目標(biāo)安全數(shù)據(jù)分區(qū),從而可確定應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū)。當(dāng)終端判斷訪問安全數(shù)據(jù)請求沒有攜帶目標(biāo)分區(qū)標(biāo)識時(shí),則終端向應(yīng)用程序返回包括不具有訪問權(quán)限的提示信息。
s101,讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限。
在本發(fā)明實(shí)施例中,終端可向應(yīng)用程序請求簽名信息并獲取簽名信息,其中,簽名信息具有唯一性,因此,不同的應(yīng)用程序?qū)?yīng)的簽名信息是不一樣的。具體的,簽名信息可包括應(yīng)用程序的簽名證書,簽名證書可以是采用哈希算法生成的哈希值,如簽名證書的sha1值。而由于終端的系統(tǒng)應(yīng)用程序會共用一個(gè)簽名證書,因此為了能夠區(qū)分系統(tǒng)的應(yīng)用程序,簽名信息還可包括應(yīng)用程序的包名,包名可以是應(yīng)用程序的唯一身份標(biāo)識。
在本發(fā)明實(shí)施例中,為了提高安全數(shù)據(jù)分區(qū)的安全性,終端可根據(jù)需要指定不同的安全數(shù)據(jù)分區(qū)開放權(quán)限給不同的應(yīng)用程序訪問,因此,可想而知,具有訪問其中一個(gè)安全數(shù)據(jù)分區(qū)的權(quán)限的應(yīng)用程序并不代表也具有訪問其他安全數(shù)據(jù)分區(qū)的權(quán)限,可見,這使得終端可僅向應(yīng)用程序提供所需的安全數(shù)據(jù),避免了應(yīng)用程序可訪問其功能上所不需的安全數(shù)據(jù)而造成安全數(shù)據(jù)的泄露,提高終端的安全數(shù)據(jù)的安全性。因此,終端可預(yù)置每個(gè)安全數(shù)據(jù)分區(qū)與應(yīng)用程序的對應(yīng)關(guān)系,從而終端可通過該對應(yīng)關(guān)系獲取安全數(shù)據(jù)分區(qū)所開放權(quán)限的應(yīng)用程序。進(jìn)一步的,由于應(yīng)用程序的簽名信息具有唯一性,因此,終端可獲取安全數(shù)據(jù)分區(qū)所開放權(quán)限的應(yīng)用程序的簽名信息,并預(yù)置安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系,從而預(yù)置了每個(gè)安全數(shù)據(jù)分區(qū)與應(yīng)用程序的對應(yīng)關(guān)系。
因此,在本發(fā)明實(shí)施例中,終端根據(jù)簽名信息判斷應(yīng)用程序?qū)δ繕?biāo)安全分區(qū)是否具有訪問權(quán)限具體可以是:終端可根據(jù)預(yù)置的安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系獲取目標(biāo)安全數(shù)據(jù)分區(qū)所對應(yīng)的目標(biāo)簽名信息,從而終端可校驗(yàn)應(yīng)用程序的簽名信息和目標(biāo)簽名信息,并當(dāng)校驗(yàn)通過時(shí),確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限。其中,終端校驗(yàn)應(yīng)用程序的簽名信息和目標(biāo)簽名信息具體可以是:終端判斷應(yīng)用程序的簽名信息和目標(biāo)簽名信息是否相同,即是判斷應(yīng)用程序的簽名信息所包括的簽名證書和包名與目標(biāo)簽名信息所包括的簽名證書和包名是否完全一致,當(dāng)確定應(yīng)用程序的簽名信息所包括的簽名證書和包名與目標(biāo)簽名信息所包括的簽名證書和包名完全一致時(shí),則確定應(yīng)用程序的簽名信息和目標(biāo)簽名信息相同時(shí),確定校驗(yàn)通過。在具體應(yīng)用中,終端可判斷應(yīng)用程序的簽名信息所包括的sha1值和包名與目標(biāo)簽名信息所包括的sha1值和包名是否完全一致,當(dāng)確定應(yīng)用程序的簽名信息所包括的sha1值和包名與目標(biāo)簽名信息所包括的sha1值和包名完全一致時(shí),確定校驗(yàn)通過。進(jìn)一步的,當(dāng)終端判斷應(yīng)用程序的簽名信息和目標(biāo)簽名信息不相同時(shí),終端可確定校驗(yàn)不通過。當(dāng)終端確定校驗(yàn)通過時(shí),終端可確定應(yīng)用程序?qū)δ繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限;當(dāng)終端確定校驗(yàn)不通過時(shí),終端可確定應(yīng)用程序?qū)δ繕?biāo)安全數(shù)據(jù)分區(qū)不具有訪問權(quán)限。
在具體應(yīng)用中,終端可將安全芯片的存儲區(qū)劃分為多個(gè)安全數(shù)據(jù)分區(qū),并將安全數(shù)據(jù)存儲至多個(gè)安全數(shù)據(jù)分區(qū)中。當(dāng)應(yīng)用程序需訪問安全數(shù)據(jù)分區(qū)時(shí),終端可調(diào)用安全芯片接口控制應(yīng)用程序?qū)Π踩珨?shù)據(jù)分區(qū)進(jìn)行訪問,其中,終端可以是在安全芯片接口的驅(qū)動層對應(yīng)用程序的簽名信息和目標(biāo)簽名信息進(jìn)行校驗(yàn),如在安全芯片的kernel的驅(qū)動層進(jìn)行校驗(yàn),有效提高校驗(yàn)安全性。
s102,當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū)。
在本發(fā)明實(shí)施例中,當(dāng)終端確定應(yīng)用程序?qū)δ繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),終端向應(yīng)用程序開放訪問目標(biāo)安全數(shù)據(jù)分區(qū)的權(quán)限,允許應(yīng)用程序訪問目標(biāo)安全數(shù)據(jù)分區(qū)。
在本發(fā)明實(shí)施例中,當(dāng)終端確定應(yīng)用程序?qū)δ繕?biāo)安全數(shù)據(jù)分區(qū)不具有訪問權(quán)限時(shí),終端可輸出用于提示應(yīng)用程序沒有訪問權(quán)限的提示信息。并禁止應(yīng)用程序訪問目標(biāo)安全數(shù)據(jù)分區(qū)的安全數(shù)據(jù)。其中,終端可通過彈框或語音輸出用于提示應(yīng)用程序沒有訪問權(quán)限的提示信息。
在本發(fā)明實(shí)施例中,當(dāng)終端接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū),讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限,當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū),這可使得終端可向有訪問安全數(shù)據(jù)權(quán)限的應(yīng)用程序開放存儲所需的安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)的訪問權(quán)限,使得終端可限制應(yīng)用程序訪問部分安全數(shù)據(jù)的權(quán)限,提高安全數(shù)據(jù)的安全性。
參見圖2,是本發(fā)明實(shí)施例提供一種終端結(jié)構(gòu)圖,如圖所示2所示所述終端包括:
第一確定單元100,用于當(dāng)接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū);
第一判斷單元200,用于讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限;
允許單元300,用于當(dāng)所述判斷單元確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū)。
所述訪問安全數(shù)據(jù)請求攜帶所述目標(biāo)分區(qū)標(biāo)識;
其中,所述第一確定單元100包括:
第二確定單元,用于根據(jù)預(yù)置的分區(qū)標(biāo)識與安全數(shù)據(jù)分區(qū)的對應(yīng)關(guān)系,確定所述目標(biāo)分區(qū)標(biāo)識所對應(yīng)的安全數(shù)據(jù)分區(qū);
設(shè)置單元,用于將所述目標(biāo)分區(qū)標(biāo)識所對應(yīng)的安全數(shù)據(jù)分區(qū)設(shè)為所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū)。
其中,所述終端包括:
預(yù)置單元,用于預(yù)置安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系;
所述第一判斷單元200包括:
獲取單元,用于根據(jù)所述安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系,獲取所述目標(biāo)安全數(shù)據(jù)分區(qū)對應(yīng)的目標(biāo)簽名信息;
校驗(yàn)單元,用于校驗(yàn)所述應(yīng)用程序的簽名信息和目標(biāo)簽名信息;
第三確定單元,用于當(dāng)所述校驗(yàn)單元校驗(yàn)通過時(shí),確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限。
其中,所述校驗(yàn)單元包括:
第二判斷單元,用于判斷所述應(yīng)用程序的簽名信息和目標(biāo)簽名信息是否相同;
第三確定單元,用于當(dāng)所述第二判斷單元確定所述應(yīng)用程序的簽名信息和所述目標(biāo)簽名信息相同時(shí),確定校驗(yàn)通過。
其中,所述第一判斷單元200還包括:
輸出單元,用于當(dāng)所述校驗(yàn)單元校驗(yàn)不通過時(shí),輸出用于提示所述應(yīng)用程序沒有訪問權(quán)限的提示信息。
可以理解的是,本實(shí)施例的終端中的單元的各功能單元的功能可根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn),其具體實(shí)現(xiàn)過程可以參照上述方法實(shí)施例的相關(guān)描述,此處不再進(jìn)行贅述。
在本發(fā)明實(shí)施例中,當(dāng)終端接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū),讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限,當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū),這可使得終端可向有訪問安全數(shù)據(jù)權(quán)限的應(yīng)用程序開放存儲所需的安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)的訪問權(quán)限,使得終端可限制應(yīng)用程序訪問部分安全數(shù)據(jù)的權(quán)限,提高安全數(shù)據(jù)的安全性。
參見圖3,是本發(fā)明另一實(shí)施例提供的一種終端示意框圖。如圖3所示的本實(shí)施例中的終端可以包括:一個(gè)或多個(gè)處理器301;一個(gè)或多個(gè)輸入設(shè)備302,一個(gè)或多個(gè)輸出設(shè)備303和存儲器304。上述處理器301、輸入設(shè)備302、輸出設(shè)備303和存儲器304通過總線305連接。存儲器304用于存儲指令,處理器301用于執(zhí)行存儲器304存儲的指令。其中,處理器301用于:
當(dāng)接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū);
讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限;
當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū)。
其中,所述訪問安全數(shù)據(jù)請求攜帶所述目標(biāo)分區(qū)標(biāo)識;
當(dāng)所述處理器301接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),處理器301在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū)包括:
根據(jù)預(yù)置的分區(qū)標(biāo)識與安全數(shù)據(jù)分區(qū)的對應(yīng)關(guān)系,確定所述目標(biāo)分區(qū)標(biāo)識所對應(yīng)的安全數(shù)據(jù)分區(qū);
將所述目標(biāo)分區(qū)標(biāo)識所對應(yīng)的安全數(shù)據(jù)分區(qū)設(shè)為所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū)。
其中,在所述處理器301讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限之前,所述處理器301還執(zhí)行:
預(yù)置安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系;
所述讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限包括:
根據(jù)所述安全數(shù)據(jù)分區(qū)與簽名信息的對應(yīng)關(guān)系,獲取所述目標(biāo)安全數(shù)據(jù)分區(qū)對應(yīng)的目標(biāo)簽名信息;
校驗(yàn)所述應(yīng)用程序的簽名信息和目標(biāo)簽名信息;
當(dāng)校驗(yàn)通過時(shí),確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限。
其中,所述處理器301校驗(yàn)所述應(yīng)用程序的簽名信息和目標(biāo)簽名信息包括:
判斷所述應(yīng)用程序的簽名信息和目標(biāo)簽名信息是否相同;
當(dāng)確定所述應(yīng)用程序的簽名信息和所述目標(biāo)簽名信息相同時(shí),確定校驗(yàn)通過。
其中,所述處理器301還執(zhí)行:
當(dāng)校驗(yàn)不通過時(shí),輸出用于提示所述應(yīng)用程序沒有訪問權(quán)限的提示信息。
可以理解的是,本實(shí)施例的終端中的單元的各功能單元的功能可根據(jù)上述方法實(shí)施例中的方法具體實(shí)現(xiàn),其具體實(shí)現(xiàn)過程可以參照上述方法實(shí)施例的相關(guān)描述,此處不再進(jìn)行贅述。
在本發(fā)明實(shí)施例中,當(dāng)終端接收到來自應(yīng)用程序發(fā)送的訪問安全數(shù)據(jù)請求時(shí),在預(yù)置的不少于一個(gè)用于存儲安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)中確定所述應(yīng)用程序所要訪問的目標(biāo)安全數(shù)據(jù)分區(qū),讀取所述應(yīng)用程序的簽名信息,根據(jù)所述簽名信息判斷所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)是否具有訪問權(quán)限,當(dāng)確定所述應(yīng)用程序?qū)λ瞿繕?biāo)安全數(shù)據(jù)分區(qū)具有訪問權(quán)限時(shí),允許所述應(yīng)用程序訪問所述目標(biāo)安全數(shù)據(jù)分區(qū),這可使得終端可向有訪問安全數(shù)據(jù)權(quán)限的應(yīng)用程序開放存儲所需的安全數(shù)據(jù)的安全數(shù)據(jù)分區(qū)的訪問權(quán)限,使得終端可限制應(yīng)用程序訪問部分安全數(shù)據(jù)的權(quán)限,提高安全數(shù)據(jù)的安全性。
本領(lǐng)域普通技術(shù)人員可以意識到,結(jié)合本文中所公開的實(shí)施例描述的各示例的單元及算法步驟,能夠以電子硬件、計(jì)算機(jī)軟件或者二者的結(jié)合來實(shí)現(xiàn),為了清楚地說明硬件和軟件的可互換性,在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專業(yè)技術(shù)人員可以對每個(gè)特定的應(yīng)用來使用不同方法來實(shí)現(xiàn)所描述的功能,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。
所屬領(lǐng)域的技術(shù)人員可以清楚地了解到,為了描述的方便和簡潔,上述描述的終端和單元的具體工作過程,可以參考前述方法實(shí)施例中的對應(yīng)過程,在此不再贅述。
在本申請所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的終端和方法,可以通過其它的方式實(shí)現(xiàn)。例如,以上所描述的裝置實(shí)施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另外,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口、裝置或單元的間接耦合或通信連接,也可以是電的,機(jī)械的或其它的形式連接。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本發(fā)明實(shí)施例方案的目的。
另外,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在,也可以是兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)。
所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),可以存儲在一個(gè)計(jì)算機(jī)可讀取存儲介質(zhì)中。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分,或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲在一個(gè)存儲介質(zhì)中,包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括:u盤、移動硬盤、只讀存儲器(rom,read-onlymemory)、隨機(jī)存取存儲器(ram,randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
以上所述,僅為本發(fā)明的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到各種等效的修改或替換,這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)。